Operaţiunea GhostEmperor

Amenințările persistente avansate (APT) au în mod constant noi modalități, mai sofisticate, de a-și efectua atacurile. De aceea, cercetătorii Kaspersky monitorizează modul în care grupurile APT se reîmprospătează și își actualizează seturile de instrumente. Potrivit raportului trimestrial al Kaspersky, peisajul amenințărilor a înregistrat o creștere a atacurilor împotriva serverelor Microsoft Exchange în T2 2021. În cel mai recent raport APT 2021, Kaspersky dezvăluie detaliile unei operațiuni unice de lungă durată, „GhostEmperor”, care folosește vulnerabilitățile Microsoft Exchange pentru a ataca victime importante, cu un set de instrumente avansat și fără vreo legătură cu vreun actor de amenințare cunoscut.

GhostEmperor este un actor vorbitor de chineză, care a fost descoperit de cercetătorii Kaspersky. Se concentrează în principal pe țintele din Asia de Sud-Est, inclusiv pe mai multe entități guvernamentale și companii de telecomunicații.

Acesta iese în evidență, deoarece folosește un rootkit Windows în mod kernel. Rootkit-urile permit controlul de la distanță al serverelor pe care le vizează. Acționând în secret, rootkit-urile sunt cunoscute pentru că se ascund de investigatori și de soluțiile de securitate. Pentru a ocoli mecanismul Windows Driver Signature Enforcement, GhostEmperor folosește o schemă de încărcare ce implică componenta unui proiect open-source numit „Cheat Engine”. Acest set de instrumente avansate este unic, iar cercetătorii Kaspersky nu văd nicio legătură cu alți actori  deja cunoscuți. Experții Kaspersky au conchis că acest set de instrumente este în uz cel puțin din luna iulie a anului 2020.

„Pe măsură ce tehnicile de detectare și protecție evoluează, la fel se întâmplă și cu actorii APT. De obicei, își reîmprospătează și își actualizează seturile de instrumente. GhostEmperor este un exemplu clar al modului în care infractorii cibernetici caută noi tehnici de utilizat și noi vulnerabilități de exploatat. Folosind un rootkit necunoscut anterior, sofisticat, au ridicat noi probleme în cadrul tendinței deja bine stabilite, de atacuri împotriva serverelor Microsoft Exchange”, spune David Emm, expert în securitate la Kaspersky.

Pe lângă intensificarea atacurilor împotriva serverelor Microsoft Exchange, experții Kaspersky subliniază și următoarele tendințe în peisajul APT în T2:

• Crește numărul de actori APT care valorifică exploit-urile pentru a obține un punct de sprijin inițial în rețelele atacate – inclusiv vulnerabilitățile de tip zero-days inițiate de dezvoltatorul „Moses” și cele utilizate în PuzzleMaker, atacurile Pulse Secure și vulnerabilitățile serverului Microsoft Exchange
• Actorii de amenințări APT continuă să investească în actualizarea seturilor de instrumente: acest lucru vizează nu numai includerea de noi platforme, ci și utilizarea unor limbaje suplimentare, așa cum se vede în programul malware Python, acceptat de macOS WildPressure
• În timp ce unele dintre atacurile asupra lanțurilor de aprovizionare au fost majore și au atras atenția la nivel mondial, experții Kaspersky au observat, de asemenea, atacuri la fel de reușite cu tehnologie mai primitivă, precum BountyGlad, CoughingDown și atacul care țintește Codecov, care a semnalat că toate campaniile low-key reprezintă, încă, o amenințare semnificativă la adresa securității

Pentru a afla mai multe despre GhostEmperor și alte descoperiri semnificative ale trimestrului al doilea, citiți raportul tendințelor APT Q2 2021 pe Securelist. Raportul trece în revistă concluziile rapoartelor despre amenințările cibernetice, destinate exclusiv abonaților Kaspersky, care includ, de asemenea, date cu indicatori de compromis (IoC) și reguli YARA pentru a ajuta la cercetarea criminalistică și identificarea malware-ului. Pentru mai multe informații, vă rugăm să contactați: intelreports@kaspersky.com

Pentru a evita să deveniți victima unui atac țintit din partea unui actor de amenințare cunoscut sau necunoscut, cercetătorii Kaspersky recomandă implementarea următoarelor măsuri:

• Oferiți echipei dumneavoastră SOC acces la cele mai recente informații privind amenințările (TI). Kaspersky Threat Intelligence Portal este un punct unic de acces pentru TI-ul companiei, oferind date despre atacuri cibernetice și informații colectate de Kaspersky pe o perioadă de peste 20 de ani. Accesul gratuit la câteva dintre funcțiile sale, care permit utilizatorilor să verifice fișiere, adrese URL și adrese IP, este disponibil aici.
• Instruiți-vă echipa de securitate cibernetică pentru a putea aborda cele mai recente amenințări țintite cu sesiunile de training online oferite de Kaspersky, dezvoltate de experții GReAT
• Pentru protecție la nivel endpoint, investigație și remediere la timp a incidentelor, implementați soluții EDR precum Kaspersky Endpoint Detection and Response.
• Pe lângă adoptarea protecției esențiale la nivelul endpoint, implementați o soluție de securitate la nivel corporativ care detectează amenințările avansate la nivel de rețea într-un stadiu incipient, cum ar fi Kaspersky Anti Targeted Attack Platform.

Întrucât multe atacuri țintite încep cu un phishing sau cu alte tehnici de inginerie socială, este necesară instruirea angajaților cu privire la importanța securității IT, și formarea unor abilități practice – de exemplu, prin intermediul Kaspersky Automated Security Awareness Platform.